Sicherheitsforscher der Trend Micro Zero Day Initiative (ZDI) haben multiple kritische Schwachstellen im Mazda Connect-Infotainmentsystem aufgedeckt. Die Sicherheitslücken betreffen Mazda-Fahrzeuge der Baujahre 2014 bis 2021, insbesondere das Modell Mazda 3, und ermöglichen potenziellen Angreifern weitreichende Kontrolle über betroffene Fahrzeuge.
Technische Analyse der Sicherheitslücken
Im Fokus der Untersuchung stand die Connectivity Master Unit von Visteon mit Johnson Controls Software. Die aktuelle Firmware-Version 74.00.324A weist mehrere schwerwiegende Schwachstellen auf, darunter SQL-Injektionen und die Möglichkeit zur Ausführung nicht signierter Code-Komponenten. Besonders kritisch ist die als CVE-2024-8356 klassifizierte Schwachstelle, die das Einschleusen manipulierter Firmware ermöglicht und damit Zugriff auf sicherheitskritische Fahrzeugsysteme gewährt.
Auswirkungen und Bedrohungsszenarien
Die identifizierten Schwachstellen eröffnen Angreifern weitreichende Möglichkeiten zur Kompromittierung betroffener Fahrzeuge:
- Vollständiger Root-Zugriff auf Fahrzeugsysteme
- Manipulation sicherheitskritischer CAN-Bus-Komponenten (Motor, Bremsen, Getriebe)
- Kompromittierung verbundener Endgeräte
- Pre-Boot-Manipulation durch schädlichen Code
Angriffsszenario und Exploitationsmethoden
Nach Angaben des ZDI-Sicherheitsforschers Dmitri Janushkevich erfordert die Ausnutzung der Schwachstellen physischen Zugang zum Fahrzeug. Ein präpariertes USB-Gerät genügt, um das System innerhalb weniger Minuten zu kompromittieren. Besonders gefährdet sind Fahrzeuge in Parkhäusern, Werkstätten und bei Händlern, wo Dritte unbeaufsichtigten Zugang erlangen können.
Zum gegenwärtigen Zeitpunkt hat Mazda noch keine Sicherheitsupdates bereitgestellt oder offizielle Stellungnahmen veröffentlicht. Sicherheitsexperten empfehlen Besitzern betroffener Fahrzeuge erhöhte Wachsamkeit und die Beschränkung physischer Zugriffsmöglichkeiten. Die Installation künftiger Sicherheitsupdates sollte unmittelbar nach Verfügbarkeit erfolgen. Zusätzlich wird empfohlen, verdächtige Aktivitäten am Fahrzeug zu dokumentieren und gegebenenfalls den Hersteller zu kontaktieren.
